Chinaunix首页 | 论坛 | 博客
  • 博客访问: 442434
  • 博文数量: 112
  • 博客积分: 4451
  • 博客等级: 上校
  • 技术积分: 1063
  • 用 户 组: 普通用户
  • 注册时间: 2009-02-23 10:19
个人简介

更多精品http://shop65927331.taobao.com

文章分类

全部博文(112)

文章存档

2011年(19)

2010年(54)

2009年(39)

分类: LINUX

2011-03-05 10:18:00

1.配置CA
    修改openssl配置文件/etc/pki/tls/openssl.cnf,做如下修改:
    [ CA_default ] 
    dir = /etc/pki/CA   #CA中心的目录
    crl_dir = $dir/crl  #被吊销证书的目录
    database = $dir/index.txt  #证书索引文件

    new_certs_dir =$dir/newcerts  #经过CA中心签名的证书备份目录

    certificate = $dir/my-ca.crt  # CA的公钥文件名
    serial = $dir/serial  # CA中心的颁发证书序列号
    crlnumber = $dir/crlnumber #已吊销证书序列号
    
    crl = $dir/my-ca.crl  #证书吊销列表
    private_key = $dir/private/my-ca.key #CA私钥文件
    
    ...
    default_days = 365 #证书有效期
    
    [ policy_match]
    此段为证书相关信息选项,其中match指定的项,要求被签名证书一定要与CA的对应项一致。

    [ req_distinguished_name ]
    此段为CA证书的默认配置

    下面开始配置,先建立CA中心的各个文件和目录,且umask 使用077
    #(umask 077;mkdir -p /etc/pki/CA/{certs,crl,newcerts,private})
    #touch /etc/pki/CA/{crl,serial,crlnumber}
    #echo 00 > /etc/pki/CA/serial 

    然后生成CA的私钥和公钥

    #(umask 077;openssl genrsa -out /etc/pki/CA/private/my-ca.key -des3 2048)
    由私钥生成公钥
    #openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 365 > /etc/pki/CA/my-ca.crt
 
    创建公钥私钥:    
    生成RSA密钥:  # openssl genrsa -des3 -out file.key 1024 
    生成证书: # openssl req -new -x509 -key privatekey.key -out cacert.csr -days 365
    证书签名: # openssl ca -in cacert.csr -out server.crt
 
    从.crt 转换成 .pem:
    step 1> openssl x509 -in input.crt -out input.der -outform DER
    step 2> openssl x509 -in input.der -inform DER -out output.pem -outform PEM
 
    查看:
    #openlls rsa -in file.key -noout -text
    #openssl req -in file.csr -noout -text
    #openssl x509 -in /path/yours.crt -noout -text
    #openssl rsa -noout -modulus -in /path/to/ | openssl md5
    #openssl x509 -noout -modulus -in /path/to/ | openssl md5

    将my-ca.crt,即公钥放到ftp或者http等服务器,供其他人下载
阅读(2032) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~